A nova Lei da Cibersegurança em Portugal entra hoje em vigor (3 de abril de 2026) e traz mudanças profundas para empresas e entidades públicas.
O chamado Regime Jurídico da Cibersegurança, aprovado pelo Decreto-Lei n.º 125/2025, passa agora a aplicar-se oficialmente em Portugal, transpondo a diretiva europeia NIS2.
A nova lei não é apenas uma atualização da NIS, mas sim uma reforma estrutural da forma como a cibersegurança é tratada no país:
#1 - Mais entidades abrangidas
Deixa de ser apenas para infraestruturas críticas. Agora inclui:
- Empresas médias e grandes
- Serviços digitais
- Administração Pública
- Setores como energia, saúde, banca e transportes
O novo regime assenta na classificação das entidades em três grandes categorias, baseada na sua relevância para a segurança nacional e para o funcionamento da sociedade e da economia:
- 1) Entidades Essenciais
- 2) Entidades Importantes
- 3) Entidades Públicas Relevantes
A Diretiva NIS 2 identifica 18 setores considerados críticos, divididos em setores essenciais e setores importantes. Saber mais aqui.
#2 - Obrigações mais exigentes
As organizações passam a ter de:
- Implementar medidas de gestão de risco
- Garantir segurança na cadeia de fornecimento
- Reportar incidentes de segurança rapidamente
- 30 dias - Para entidades que iniciem atividade após a entrada em vigor do RJC, para se identificarem na plataforma do Centro Nacional de Cibersegurança
- 60 dias — Para entidades já em atividade, contados a partir da disponibilização da plataforma
- 30 dias — Prazo para a Autoridade de Cibersegurança Competente (CNCS, ANACOM ou Gabinete Nacional de Segurança) comunicar a qualificação - Saber mais aqui.
#3 - Supervisão mais apertada
O Centro Nacional de Cibersegurança (CNCS) ganha mais poderes:
- Auditorias e inspeções
- Imposição de medidas corretivas
- Possibilidade de ordenar ações imediatas em caso de risco
Saber mais aqui.
#4 - Multas pesadas
O incumprimento pode sair caro:
- Até 10 milhões de euros
- Ou 2% do volume de negócios anual global
Saber mais aqui.
#5 - O artigo 8.º-A
O artigo 8.º-A (aditado à Lei do Cibercrime – Lei n.º 109/2009 pelo Decreto-Lei n.º 125/2025) consagra, pela primeira vez em Portugal, um regime de não punibilidade para atos de cibersegurança de interesse público, enquadrando legalmente a atuação de hackers éticos ("investigadores" de cibersegurança).
Ou seja, se até agora, a identificação de vulnerabilidades através de testes não autorizados podia enquadrar-se em crimes como o acesso ilegítimo a sistemas informáticos, com o novo diploma, passa a existir uma “proteção” legal para atividades realizadas de boa-fé e de interesse público.
#6) Implementação não é imediata para tudo
Apesar de entrar hoje em vigor hoje, muitas obrigações:
- Terão aplicação faseada
- Podem estender-se até 24 meses para cumprimento total
Esta lei surge num contexto de aumento de ciberataques e coloca Portugal alinhado com o resto da União Europeia. De referir que no Decreto-Lei 125/2025 podemos também encontrar as medidas mínimas de segurança que devem ser implementadas.
Leia também...